martes, 25 de marzo de 2014

Falsificación de extensiones de ficheros en WinRAR (0-day)

Hace poco se mostraba en un blog israelí una vulnerabilidad 0-day en la versión 4.20 de WinRAR (otras versiones podrían verse también afectadas) con la que es posible engañar muy fácilmente a un usuario para que ejecute por ejemplo... un troyano. Además es sumamente sencilla de explotar...

Para nuestra PoC empezaremos creando un simple vbs 'pruebas.vbs':


MsgBox("PWNED! jajaj")

y lo comprimiremos creando el fichero 'pruebas.zip':

 
Cuando tratamos de comprimir el archivo en "formato ZIP" con WinRAR, la estructura de archivos es la estándar pero WinRAR añade varias propiedades adicionales, como un segundo nombre de archivo:



¿Qué pasa si modificamos ese nombre con nuestro editor hexadecimal por algo más "sugerente" como 'tetazas.jpg'?:



Veamos el resultado:



Al abrir el fichero comprimido nos muestra aparentemente una imagen, pero al hacer doble clic en ella se ejecutará nuestro script, es decir, hemos falsificado el nombre y la extensión del fichero comprimido ... con lo que todo ello supone...

Pórtense bien

No hay comentarios:

Publicar un comentario